セキュリティ監査

概要

OWASP Top 10に基づくセキュリティ脆弱性の監査を包括的に支援するスキルです。

実行フロー

Step 1: 監査スコープの確認

• 監査対象（認証、API、データベース、インフラ）
• 重要度の高い機能とデータフロー
• セキュリティ要件とコンプライアンス基準

Step 2: OWASP Top 10 チェック

A01: アクセス制御の不備

• 権限昇格の可能性
• 水平・垂直アクセス制御
• デフォルト拒否の原則

A02: 暗号化の失敗

• 機密データの暗号化
• 安全なアルゴリズム（bcrypt、Argon2）
• TLS/SSL設定

A03: インジェクション

• SQL/NoSQL/コマンドインジェクション
• 入力検証とサニタイゼーション
• パラメータ化クエリ

A04: 安全でない設計

• 脅威モデリング
• 多層防御
• セキュアバイデザイン

A05: セキュリティの誤構成

• デフォルト設定
• セキュリティヘッダー（CSP等）
• エラーメッセージ

A06: 脆弱で古いコンポーネント

• 依存関係の脆弱性（npm audit、Snyk）
• ライブラリの最新化

A07: 識別と認証の失敗

• 多要素認証
• セッション管理
• ブルートフォース対策

A08: ソフトウェアとデータの整合性

• デシリアライゼーション
• CI/CDセキュリティ
• 整合性検証（SRI）

A09: セキュリティログと監視

• イベントログ
• 監視とアラート
• インシデント対応

A10: SSRF

• 外部リソースリクエストの検証
• URLホワイトリスト

Step 3: コード分析

• 安全でないコーディングパターン
• ハードコードされた機密情報
• 入力検証の実装

Step 4: 構成レビュー

• インフラ設定
• IAM/RBACポリシー
• シークレット管理

Step 5: リスク評価

出力成果物

1. 監査レポート: 脆弱性一覧と重大度
2. 修正提案: 具体的なコード/設定変更
3. アクションプラン: 優先度付きタスク
4. 継続的改善計画: 自動スキャン、CI/CD統合

ベストプラクティス

1. 攻撃者の視点で考える: 最小権限の原則
2. 多層防御: 単一の防御に依存しない
3. セキュアバイデフォルト: 安全な設定をデフォルトに
4. 継続的な監視: 定期的なスキャンと監査
5. 文書化と教育: セキュリティ対策の文書化

推奨ツール

• npm audit / Snyk: 依存関係スキャン
• OWASP ZAP: Webアプリ脆弱性スキャナ
• Trivy: コンテナスキャン
• git-secrets: 機密情報検出

関連ファイル

• CHECKLIST.md - OWASP Top 10チェックリスト
• TOOLS.md - スキャンツール一覧